Dela via


Börja använda Privileged Identity Management

Använd Privileged Identity Management (PIM) för att hantera, kontrollera och övervaka åtkomst inom din Microsoft Entra-organisation. Med PIM kan du ge åtkomst efter behov och just-in-time till Azure-resurser, Microsoft Entra-resurser och andra Microsoft-onlinetjänster som Microsoft 365 eller Microsoft Intune.

I den här artikeln beskrivs hur du aktiverar Privileged Identity Management (PIM) och kommer igång med det.

Förutsättningar

Om du vill använda Privileged Identity Management måste du ha en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens. Mer information om licensiering finns i Grunderna för Microsoft Entra ID-styrningslicensiering.

Aktivering av rolltilldelningar

När en Microsoft Entra-klientorganisation har en Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicens kan användare med aktiva rolltilldelningar göra följande:

  • Öppna sidan Roller och administratörer i Microsoft Entra-ID och välj en roll.
  • Öppna sidan Privileged Identity Management ;
  • Gör anrop till PIM med hjälp av Microsoft Entra-roll-API:et.

Microsoft Entra aktiverar PIM för klientorganisationen på följande sätt:

  • Från och med omedelbart kan du skapa berättigade eller tidsbundna tilldelningar för Microsoft Entra-roller.
  • Globala administratörer eller privilegierade rolladministratörer kan börja ta emot ytterligare e-postmeddelanden, till exempel PIM:s veckosammandrag.
  • PIM-tjänstens huvudnamn (MS–PIM) kan anges i granskningslogghändelser relaterade till rolltilldelningshantering.

Dessa beteenden förväntas och bör inte påverka dina arbetsflöden.

Förbereda PIM för Microsoft Entra-roller

Här följer de uppgifter som vi rekommenderar för att förbereda Privileged Identity Management för att hantera Microsoft Entra-roller:

  1. Konfigurera rollinställningar för Microsoft Entra
  2. Ge berättigade tilldelningar
  3. Tillåt berättigade användare att aktivera sin Microsoft Entra-roll just-in-time

Förbereda PIM för Azure-roller

Här följer de uppgifter som vi rekommenderar för att förbereda Privileged Identity Management för att hantera Azure-roller för en prenumeration:

  1. Identifiera Azure-resurser
  2. Konfigurera azure-rollinställningar
  3. Ge berättigade tilldelningar
  4. Tillåt berättigade användare att aktivera sina Azure-roller just-in-time

När Privileged Identity Management har konfigurerats kan du lära dig hur du tar dig runt.

Skärmbild som visar navigeringsfönstret i Privileged Identity Management med alternativen Uppgifter och Hantera.

Uppgift + hantera beskrivning
Mina roller Visar en lista över berättigade och aktiva roller som tilldelats dig. Här kan du aktivera tilldelade berättigade roller.
Mina begäranden Visar dina väntande begäranden om att aktivera berättigade rolltilldelningar.
Godkänna förfrågningar Visar en lista över begäranden om att aktivera berättigade roller av användare i din katalog som du har utsett att godkänna.
Granska åtkomst Visar en lista över aktiva åtkomstgranskningar som du har tilldelats att slutföra, oavsett om du granskar åtkomsten för dig själv eller någon annan.
Microsoft Entra-roller Visar en instrumentpanel och inställningar för privilegierade rolladministratörer för att hantera Microsoft Entra-rolltilldelningar. Instrumentpanelen är inaktiverad för alla som inte är en privilegierad rolladministratör. De här användarna har åtkomst till en särskild instrumentpanel som heter My view (Min vy). Instrumentpanelen Min vy visar bara information om användaren som kommer åt instrumentpanelen, inte hela organisationen.
Grupper Hantera just-in-time-medlemskap i gruppen eller just-in-time-ägarskap för gruppen. Grupper kan användas för att ge åtkomst till Microsoft Entra-roller, Azure-roller och olika andra scenarier. Om du vill hantera en Microsoft Entra-grupp i PIM måste du hantera den i PIM.
Azure-resurser Visar en instrumentpanel och inställningar för privilegierade rolladministratörer för hantering av Azure-resursrolltilldelningar. Instrumentpanelen är inaktiverad för alla som inte är en privilegierad rolladministratör. De här användarna har åtkomst till en särskild instrumentpanel som heter My view (Min vy). Instrumentpanelen Min vy visar bara information om användaren som kommer åt instrumentpanelen, inte hela organisationen.
Allmänna inställningar Välj program som endast tillåts göra appanrop till Microsoft Graph API för PIM.

Nästa steg